RUA versus RUF: een complete gids voor DMARC-rapportage

door

Laatst bijgewerkt:
7 leestijd: 7 minuten
RUA versus RUF: een complete gids voor DMARC-rapportage

Belangrijkste Conclusies

  • DMARC biedt inzicht in e-mailactiviteiten en helpt domeinen te beveiligen tegen spoofing en phishing.
  • RUA-rapporten documenteren verzamelde gegevens over mislukte e-mailverificatie, wat helpt bij het identificeren van frauduleuze activiteiten.
  • RUF-rapporten bieden details op forensisch niveau die kwetsbaarheden in het e-mailsysteem aan het licht helpen brengen.
  • Het implementeren van DMARC is essentieel om ontvangende servers instructies te geven over hoe ze moeten omgaan met e-mails die de authenticatiecontroles niet doorstaan.
  • Een goede DMARC-rapportage helpt organisaties om aan de nalevingsvereisten te voldoen en veiligheidsrisico’s te beperken.
  • Door het e-mailverificatiebeleid op basis van RUA- en RUF-rapporten te verfijnen, wordt de algehele e-mailbeveiliging op termijn verbeterd.

Aan de hand van DMARC-rapporten kunt u zien wat er daadwerkelijk met uw e-mail gebeurt. Zonder deze rapporten voert u authenticatiebeleid blindelings in.

Er zijn twee soorten: RUA-overzichtsrapporten, die u een dagelijks overzicht geven van het e-mailverkeer van uw domein, en RUF -forensische rapporten, die in realtime worden geactiveerd wanneer individuele e-mails de authenticatie niet doorstaan.

Het is voor iedereen die streeft naar volledige DMARC-handhaving van essentieel belang om het verschil tussen DMARC RUA en RUF te kennen, te weten wat ze precies inhouden en wanneer ze moeten worden gebruikt.

DMARC-tags en hun functies

Voordat we ons verdiepen in de RUA- en RUF-rapporten, is het essentieel om te begrijpen hoe DMARC-tags werken binnen uw DMARC-record.

DMARC-records bevatten verschillende belangrijke tags die verschillende aspecten van e-mailverificatie en rapportage regelen:

  • v=DMARC1: Geeft de DMARC-versie aan
  • p=: Stelt het beleid voor uw domein in (geen, quarantaine of weigeren)
  • rua=: Geeft aan waar geaggregeerde (RUA) rapporten naartoe moeten worden gestuurd
  • ruf=: Geeft aan waar forensische (RUF) rapporten naartoe moeten worden gestuurd
  • sp=: Stelt het beleid voor subdomeinen in

De RUA- en RUF-tags zijn essentieel voor het ontvangen van de rapporten waarmee u uw e-mailverificatie .

Wat zijn DMARC RUA-rapporten?

DMARC RUA-rapporten, oftewel geaggregeerde rapporten, vormen de basis van elke effectieve DMARC-implementatie. Ze worden gegenereerd door de e-mailservers van de ontvangers en verzonden naar het adres dat is opgegeven in de RUA-tag van uw DMARC-record, doorgaans eens per 24 uur.

Wat de RUA-rapporten bevatten

RUA-rapporten geven een overzicht van alle resultaten van de e-mailverificatie voor uw domein gedurende de rapportageperiode. Ze bevatten:

  • IP-adressen van alle servers die e-mail hebben verzonden via uw domein
  • Aantal berichten dat vanaf elk IP-adres is verzonden
  • SPF- en DKIM- verificatieresultaten per afzender
  • Toegepast DMARC-beleid en het resultaat voor elke berichtgroep
  • Resultaten van domeinvergelijking

Belangrijk is dat RUA-rapporten al deze informatie bieden zonder dat er persoonlijk identificeerbare gegevens of gevoelige informatie over de e-mails zelf worden onthuld. Hierdoor zijn ze veilig in gebruik vanuit het oogpunt van privacy en naleving.

Waarvoor worden RUA-rapporten gebruikt?

GebruikHoe RUA helpt
Alle legitieme afzenders identificerenGeeft alle IP-adressen weer die e-mail versturen onder uw domein
Ongeautoriseerde bronnen opsporenMarkeer IP-adressen die niet in uw SPF-e-mailrecord of DKIM-configuratie staan
Het bijhouden van het slagingspercentage bij authenticatieGeeft weer welk percentage van de e-mail de SPF-, DKIM- en DMARC-controles doorstaat
Het verfijnen van het beleid voor e-mailverificatieLevert de gegevens die nodig zijn om de SPF- en DKIM-configuratie aan te passen
Op weg naar handhavingBevestigt dat alle legitieme bronnen zijn geverifieerd voordat het beleid wordt aangescherpt

Het monitoren van RUA-rapporten is essentieel om veilig over te stappen van een monitoringbeleid met p=none naar actieve handhaving met p=quarantine of p=reject. Zonder deze gegevens is het aanscherpen van uw DMARC-beleid het risico dat legitieme e-mail wordt geblokkeerd.

RUA-rapportage inschakelen

Om geaggregeerde rapporten te ontvangen, voegt u de RUA-tag toe aan uw DMARC-record, samen met een geldig e-mailadres: v=DMARC1; p=none; rua=mailto:[email protected];

U kunt meerdere adressen opgeven in een lijst, gescheiden door komma’s.

Je kunt ook een extern domein toestaan om geaggregeerde rapporten te ontvangen door dit op te geven in de RUA-tag, op voorwaarde dat het externe domein een DNS-record publiceert waarin toestemming wordt verleend.

Dit is waarom meer dan 10.000 klanten vertrouwen op het platform van PowerDMARC

  • Aanzienlijke daling van het aantal spoofing-pogingen en ongewenste e-mails dankzij AI-gestuurde dreigingsinformatie
  • Snellere onboarding + geautomatiseerd authenticatiebeheer waarmee IT-teams uren tijd besparen
  • Realtime informatie over bedreigingen en PGP-versleutelde rapportage over verschillende domeinen heen
  • Betere bezorgingspercentages voor e-mails dankzij strikte handhaving van DMARC onder deskundige begeleiding

De eerste 15 dagen zijn gratis

Start gratis proefperiode

Wat zijn DMARC RUF-rapporten?

DMARC RUF-rapporten, ook wel forensische rapporten genoemd, worden gegenereerd en verzonden zodra een individuele e-mail de DMARC-authenticatie niet doorstaat. In tegenstelling tot RUA-rapporten, die het verkeer in geaggregeerde vorm weergeven, bieden RUF-rapporten gedetailleerde informatie over elke afzonderlijke fout.

Wat staat er in de RUF-rapporten?

RUF-rapporten kunnen het volgende bevatten:

  • Volledige e-mailheaders
  • Onderwerpregel van het mislukte bericht
  • URL's in de berichttekst
  • Informatie over de bijlage
  • Verzending van IP-adres en reden voor mislukte authenticatie
  • mogelijk gevoelige inhoud uit de berichttekst zelf

Door dit detailniveau zijn RUF-rapporten zeer geschikt voor forensisch onderzoek, maar dit brengt ook belangrijke privacykwesties met zich mee.

Wanneer RUF-rapporten nuttig zijn

RUF-rapporten zijn het meest geschikt voor:

  • Het opsporen van specifieke authenticatiefouten die moeilijk te diagnosticeren zijn op basis van geaggregeerde gegevens alleen
  • Onderzoek naar actieve phishing- of spoofing-aanvallen met behulp van uw domein
  • Het opsporen van ongeautoriseerde IP-adressen die frauduleuze berichten versturen onder uw domeinnaam

De uitdaging op het gebied van privacy bij RUF

Omdat RUF-rapporten persoonlijk identificeerbare gegevens en gevoelige informatie uit echte e-mailberichten kunnen bevatten, kiezen veel organisaties ervoor om deze helemaal niet op te vragen.

Privacywetgeving in verschillende rechtsgebieden kan het verzamelen en opslaan van deze gegevens beperken, en grote e-mailproviders bieden in verschillende mate ondersteuning voor het verzenden van forensische rapporten.

Voor de meeste organisaties bieden de geaggregeerde RUA-rapporten voldoende gegevens voor een effectieve implementatie van DMARC, zonder de risico’s op het gebied van privacy en naleving die RUF met zich meebrengt.

RUA- en RUF-rapporten vereenvoudigen

 

 

Geen creditcard nodig. Krijg binnen enkele minuten bruikbare DMARC-inzichten.

DMARC RUA versus RUF: de belangrijkste verschillen

Hier volgt een directe vergelijking van beide rapporttypes op de aspecten die het belangrijkst zijn voor de implementatie van DMARC.

RUA (totaal)RUF (Forensisch)
FrequentieDagelijksIn realtime, per storing
InhoudGeaggregeerde statistieken over al het e-mailverkeerGedetailleerde gegevens over afzonderlijke mislukte berichten
Gevoelige gegevensGeen persoonsgegevensKan gevoelige informatie bevatten, zoals kopteksten, onderwerpregels en URL’s
PrivacyrisicoLaagHoog
Ondersteuning voor aanbiedersBreed gedragenWordt niet door alle grote providers ondersteund
HoofddoelMonitoring, beleidsbijsturing, handhavingsplanningHet opsporen van specifieke storingen, forensisch onderzoek
Vereist voor DMARCNee, maar wel sterk aanbevolenNee, en voor de meeste organisaties is het optioneel
XML-formaatJaJa

Welke moet je gebruiken?

Voor de meeste organisaties vormen de geaggregeerde RUA-rapporten het juiste uitgangspunt en het belangrijkste hulpmiddel tijdens het gehele DMARC-implementatieproces. Ze bieden alles wat nodig is om afzenders te identificeren, authenticatieresultaten bij te houden en op een veilige manier naar handhaving toe te werken.

Forensische rapporten van RUF zijn situatiespecifiek. Als uw organisatie specifieke forensische behoeften heeft, zoals het actief onderzoeken van een spoofingcampagne of het oplossen van een hardnekkige authenticatiefout die niet zichtbaar is in de geaggregeerde gegevens, biedt RUF toegevoegde waarde.

Anders maken de bezorgdheid over de privacy en de beperkte ondersteuning door providers RUF eerder tot een optionele toevoeging dan tot een essentiële vereiste.

Aanbevolen lectuur: Hoe DMARC-rapporten te lezen (geaggregeerd versus forensisch)

DMARC-rapportage instellen

Het instellen van DMARC-rapportage is een van de eerste dingen die u moet doen bij het implementeren van DMARC. Zonder rapportagetags in uw record werkt u op goed geluk. Hier leest u hoe u het vanaf het begin goed aanpakt.

Uw DMARC-record instellen met rapportagetags

Een DMARC-record met zowel RUA- als RUF-tags ziet er als volgt uit:

v=DMARC1; p=none; rua=mailto:[email protected]; ruf=mailto:[email protected];

Een labelDoelVereist?
rua=Geeft aan waar de geaggregeerde rapporten naartoe worden gestuurdAanbevolen
ruf=Geeft aan waar forensische rapporten naartoe worden gestuurdOptioneel

Beide tags ondersteunen een door komma’s gescheiden lijst met adressen, zodat u rapporten indien nodig naar meerdere mailboxen kunt sturen.

Je kunt ook een extern domein toestaan om geaggregeerde rapporten te ontvangen door dit op te geven in de RUA-tag, mits dat externe domein een DNS-record publiceert waarin toestemming wordt verleend.

DMARC-rapporten gebruiken om handhaving af te dwingen

De implementatie van DMARC is een iteratief proces, en dankzij de geaggregeerde RUA-rapporten is het mogelijk om elke beleidsfase te doorlopen zonder de bezorging van legitieme e-mails te verstoren.

Het doel is om p=reject te bereiken, en jullie rapporten vormen daarbij de routekaart.

Het handhavingstraject

PodiumBeleidWat moet je met je rapporten doen?
Bewakingp=geenBreng alle verzendbronnen in kaart en controleer of SPF en DKIM voor elk daarvan in orde zijn
Soepele handhavingp=quarantineControleer of er geen legitieme bronnen uitvallen voordat u verdergaat
Volledige handhavingp=afwijzenControleer of alleen ongewenste afzenders worden geblokkeerd

Zodra uit uw RUA-rapporten consequent blijkt dat alle legitieme afzenders de authenticatie doorstaan, wordt het aanpassen van uw DMARC-beleid van `p=none` naar `p=quarantine` en vervolgens naar `p=reject` een op gegevens gebaseerde beslissing in plaats van een sprong in het diepe.

Het overslaan of overhaast doorlopen van de controlefase is de meest voorkomende reden waarom organisaties per ongeluk hun eigen e-mail blokkeren wanneer ze hun beleid aanscherpen. Uw geaggregeerde rapporten zijn er juist om dat te voorkomen.

Waar u op moet letten in uw rapporten voordat u overgaat tot handhaving

  • Alle bekende afzenders zijn zichtbaar en voldoen aan de SPF- en DKIM-authenticatie
  • Er worden geen geldige IP-adressen als ongeautoriseerd weergegeven
  • Het percentage mislukte authenticaties is laag en te wijten aan bekende problemen
  • Er zijn geen onbekende afzenders die uw domein gebruiken

De DMARC-analysator brengt dit alles op één plek samen, waardoor het eenvoudig is om de voortgang van de implementatie binnen uw gehele e-mailinfrastructuur bij te houden.

Daarnaast biedt PowerDMARC’s DMARC-rapportanalysator biedt een dieper inzicht in uw authenticatiegegevens. Het zet geaggregeerde en forensische rapporten om in duidelijke, bruikbare inzichten. Zo weet u altijd precies hoe uw domeinen ervoor staan.

Voor organisaties die e-mailverificatie voor meerdere domeinen beheren, gehoste DMARC centraliseert rapportbeheer en beleidscontrole, zodat er niets door de mazen van het net glipt.

Krijg inzicht in uw DMARC-rapporten met PowerDMARC

DMARC RUA- en RUF-rapporten zijn alleen nuttig als u ze ook daadwerkelijk kunt interpreteren. Onbewerkte XML-bestanden zijn moeilijk te lezen, kunnen gemakkelijk verkeerd worden geïnterpreteerd en bieden op zichzelf geen duidelijk pad voorwaarts.

PowerDMARC zet uw geaggregeerde en forensische rapportgegevens om in overzichtelijke, bruikbare dashboards. Deze laten precies zien wie er namens u e-mails verstuurt, welke berichten worden doorgelaten en welke worden geweigerd, en wat er moet veranderen voordat u veilig tot handhaving kunt overgaan.

Van je allereerste p=none-record tot volledige handhaving van p=reject: PowerDMARC biedt je het inzicht en de tools om dat doel te bereiken zonder giswerk.

“PowerDMARC heeft de DMARC-rapportage voor ons IT-team heel eenvoudig gemaakt. De inzichten zijn duidelijk en bruikbaar.” – CIO, grote retailer

Ga vandaag nog aan de slag met PowerDMARC vandaag nog.

FAQs

1. Wat is het verschil tussen RUA en RUF in DMARC?

RUA-rapporten bieden geaggregeerde gegevens over de resultaten van e-mailverificatie die dagelijks worden verzonden, terwijl RUF-rapporten forensische details bieden over individuele mislukte e-mails die in realtime worden verzonden. RUA-rapporten worden gebruikt om trends te volgen, terwijl RUF-rapporten worden gebruikt om specifieke bedreigingen te onderzoeken.

2. Wat is de RUA-tag in een DMARC-record?

De RUA-tag geeft het e-mailadres aan waarnaar de geaggregeerde rapporten moeten worden verzonden. Deze heeft de vorm „rua=mailto:[email protected]“ en geeft de ontvangende mailservers aan waar ze de dagelijkse overzichtsrapporten van de DMARC-authenticatieresultaten naartoe moeten sturen.

3. Is de RUA-tag nodig om DMARC te laten werken?

Nee, de RUA-tag is niet verplicht voor de basisfunctionaliteit van DMARC. Het wordt echter sterk aangeraden, want zonder deze tag ontvangt u geen rapporten over de prestaties van uw e-mailverificatie, waardoor het moeilijk wordt om uw DMARC-implementatie te controleren en te verbeteren.

4. Hoe vaak worden RUA- en RUF-rapporten verzonden?

RUA-rapporten worden doorgaans dagelijks verzonden door ontvangende mailservers en bevatten geaggregeerde gegevens van de afgelopen 24 uur. RUF-rapporten worden onmiddellijk verzonden wanneer er een authenticatiefout optreedt en bieden realtime forensische informatie over individuele e-mails die niet zijn aangekomen.

5. Kan ik zowel RUA- als RUF-rapporten voor hetzelfde domein ontvangen?

Ja, u kunt zowel RUA- als RUF-rapportage instellen in uw DMARC-record. Veel organisaties maken gebruik van beide soorten: RUA-rapporten voor continue monitoring en trendanalyse, en RUF-rapporten voor gedetailleerd onderzoek naar specifieke authenticatiefouten of beveiligingsincidenten.